Cancellazione di documenti con possibilità di recupero degli stessi: configurabilità dell'art. 635-bis c.p.

IRMA CONTI

1. Bussole di inquadramento

L'evoluzione degli strumenti informatici e telematici degli ultimi vent'anni, ha modificato per sempre le nostre abitudini.

In particolare, con il contestuale sviluppo di forme di archiviazione digitali, anche “immateriali”, come cloud e altri sistemi di tale natura, si è reso necessario fornire una tutela maggiore e specifica per le informazioni, i dati e gli stessi programmi informatici, i quali possono essere oggetto di condotte volte alla loro distruzione, o alterazione.

La rilevanza di tali dati non sfuggiva al legislatore anche prima dell'introduzione di norme ad hoc poste a loro tutela ad opera della l. n. 547/1993, tra cui la fattispecie di danneggiamento di informazioni, dati e programmi informatici di cui all'art. 635-bis c.p.

In particolare, come sancito successivamente dalle Sezioni Unite (Cass. S.U. , n. 1282/1997), prima dell'entrata in vigore della predetta legge che ha introdotto in materia una speciale ipotesi criminosa, la condotta consistente nella cancellazione di dati dalla memoria di un computer in modo tale da renderne necessaria la creazione di nuovi configurava un'ipotesi di danneggiamento ai sensi dell'art. 635 c.p. E ciò in quanto, attraverso un effetto “indiretto”, la distruzione o alterazione di un bene immateriale (software, file, etc.) produceva l'effetto di rendere inservibile l'elaboratore elettronico.

Nella medesima pronuncia, le Sezioni Unite hanno precisato, altresì, che tra il delitto di cui all'art. 635 c.p. e la fattispecie introdotta all'art. 635-bis c.p. dall'art. 9l. n. 547/1993, esiste un rapporto di successione di leggi nel tempo ai sensi dell'art. 2 c.p.

Con l'introduzione di tale fattispecie, pertanto, il legislatore ha voluto accordare una tutela specifica a dei beni immateriali che oggi è indipendente dalla loro influenza sul funzionamento dei dispositivi elettronici in cui sono contenuti e/o installati.

Ovviamente, il danneggiamento di programmi informatici può compromettere il funzionamento di pc, smartphone e altri strumenti informatici, ma non è un elemento richiesto ai fini dell'integrazione della fattispecie (a differenza di quanto previsto dall'art. 635-quater c.p.), essendo tutelata la semplice integrità del singolo dato, informazione o programma informatico.

In questo ambito, come per tutti i reati cd. “informatici”, sorgono ogni giorno nuove questioni interpretative parallelamente allo sviluppo degli strumenti informatici di riferimento.

In particolare, con riferimento alla fattispecie di cui all'art. 635-bis c.p., che punisce condotte miranti all'obliterazione del dato/programma informatica, ci si è chiesti se il reato possa dirsi integrato, anche qualora l'oggetto della condotta lesiva sia recuperabile, come avviene di sovente grazie alle nuove tecnologie e se qualsiasi tipo di soppressione dolosa di dati sia sempre punibile.

La fattispecie di cui all'art. 635-bis c.p.

L'art. 635-bis c.p. è stato introdotto dall'art. 9 l. n. 547/1993 – e successivamente modificato dagli artt. 5 comma 1 l. n. 48/2008 (che ha tipizzato la rilevante condotta di cancellazione dei dati) e dall'art. 2 comma 1 lett. m), d.lgs. n. 7/2016 – proprio per fornire una maggiore e più specifica tutela all'integrità di beni immateriali quali informazioni, dati e programmi informatici, in considerazione della loro crescente rilevanza.

La fattispecie in parola è strutturata sulla base del delitto di danneggiamento di cui costituisce ipotesi speciale e punisce le condotte di distruzione, cancellazione, deterioramento, alterazione e soppressione di dati, programmi e informazioni informatiche.

Con riferimento all'elemento materiale della fattispecie, per “informazioni” devono intendersi un insieme di dati organizzati secondo una logica che consenta di attribuire loro un particolare significato per chi utilizza l'elaboratore, mentre il “dato” si deve intendere qualunque rappresentazione non interpretata di un fatto codificata in modo tale da poter essere utilizzata dagli strumenti informatici (pc, smartphone, etc.), mentre i programmi informatici sono costituiti da una serie di istruzioni codificate in un linguaggio informatico, progettare per ottenere dall'elaboratore determinate prestazioni.

Si tratta, pertanto, di una fattispecie estremamente ampia, idonea a tutelare qualsiasi tipo “file” e programma presente su un elaboratore informatico di qualsivoglia tipo e/o natura.

Ovviamente, attesa la natura del reato di danneggiamento, sono punite esclusivamente le condotte sorrette da dolo generico, ovvero dalla coscienza e dalla volontà di danneggiare uno dei beni tutelati dalla norma, restando escluse dai confini della fattispecie tutte le condotte accidentali, anche dettate da negligenza.

È prevista, infine, una circostanza aggravante, rilevante ai fini della procedibilità, dal secondo comma in caso di condotta perpetrata con violenza o minaccia alla persona, o nel caso in cui il danneggiamento sia stato attuato con abuso della qualità di operatore di sistema.

Una volta delineati i profili essenziali del reato, è di grande rilevanza l'analisi delle coordinate ermeneutiche tracciate dalla giurisprudenza di legittimità nel corso degli anni.

E ciò anche per il caso in esame, in quanto il riferimento al reato di danneggiamento porterebbe ad escludere che condotte che non comportano una distruzione/cancellazione di carattere definitivo del dato informatico, possano integrare la fattispecie di cui all'art. 635-bis c.p.

2. Questioni e orientamenti giurisprudenziali

Domanda
Cancellazione di dati recuperabili: integrato il reato? 

Danneggiamento e recupero dei dati.

Dato il riferimento esplicito alle condotte dell'art. 635 c.p., anche in seguito all'introduzione della condotta di “cancellazione” nel 2008, di primo acchito l'evento materiale del reato in parola sembrerebbe essere ricollegato alla totale obliterazione di dati o di informazioni, o di programmi informatici.

Un'eventualità che, da diversi anni a questa parte, è diventata sempre meno frequente, in quanto la cancellazione fisica dalle memorie interne dei nostri dispositivi è diventata un'ipotesi sempre più rara, esistendo ormai diverse procedure – che in alcuni casi non necessitano neanche l'intervento di un tecnico – che consentono il recupero dei dati eliminati.

Un'eventualità che, prendendo in considerazione in senso letterale e “materiale” il concetto di cancellazione, renderebbe di difficile integrazione la fattispecie di cui all'art. 635-bis c.p.

Una questione assolutamente concreta, se si considera che, da un lato, prima della novella del 2008, la norma in parola non contemplava l'ipotesi di cancellazione, ma solo di “distruzione”, comportando interpretazioni molto più restrittive dell'evento, dall'altro, che prima ancora dell'introduzione del delitto di cui all'art. 635-bis c.p. – come osservato in sede di inquadramento – il reato di danneggiamento informatico sussisteva quando le condotte avevano alterato il funzionamento dell'elaboratore.

Con la novella della l. n. 48/2008 è stata introdotta appositamente la condotta di “cancellazione” che, distinguendosi da quella di “distruzione” porta a delle conseguenze differenti in termini di reversibilità dell'evento dannoso.

In tal senso, la Corte di Cassazione (Cass. V, n. 8555/2012) ha inteso connotare di un contenuto prettamente informatico la condotta di “cancellazione” sanzionata nella norma.

Nel caso di specie, infatti, un dipendente di una ditta privata era stato condannato in primo e in secondo grado per aver cancellato un cospicuo numero di dati dall'hard disk del proprio pc aziendale ed aveva sottratto diversi cd-rom contenenti il back up dei medesimi contenuti.

Condannato per il reato di danneggiamento informatico ex art. 635-bis c.p. e per quello di furto aggravato, l'imputato ha sostenuto in Cassazione l'inconfigurabilità del reato in parola per insussistenza di qualsiasi danneggiamento, in quanto, grazie all'intervento di un tecnico informatico, è stato facilmente possibile recuperare tutti i file cancellati.

La Suprema Corte, nel respingere tale ricostruzione in fatto – alcuni file recuperati erano comunque inservibili – e in diritto, ha introdotto una definizione “informatica” delle condotte di cancellazione.

Secondo la Corte, infatti, il lemma cancella che figura nel dettato normativo non può essere inteso nel suo precipuo significato semantico, rappresentativo di irrecuperabile elisione, ma nella specifica accezione tecnica recepita dal dettato normativo, notoriamente introdotto in sede di ratifica di convenzione europea in tema di criminalità informatica (con l. 23 dicembre 1993, n. 547).

In tal senso, nel gergo informatico l'operazione della cancellazione consiste nella rimozione da un certo ambiente di determinati dati, in via provvisoria attraverso il loro spostamento nell'apposito cestino o in via “definitiva” mediante il successivo svuotamento dello stesso.

Anche in questo caso, evidenzia la Corte, la “definitività” dell'operazione, non può essere intesa in senso letterale, in quanto oggi i file possono essere recuperati, con l'uso di determinati applicativi che, anche se non richiedono l'ausilio di un terzo, richiedono specifiche conoscenze nel campo dell'informatica.

Proprio per tali ragioni, sembra corretto ritenere conforme allo spirito della disposizione normativa che anche la cancellazione, che non escluda la possibilità di recupero se non con l'uso – anche dispendioso – dì particolari procedure, integri gli estremi oggettivi della fattispecie delittuosa.

Il danno arrecato, pertanto, è indipendente dalla reversibilità della cancellazione dei file, in quanto il loro recupero comporta, comunque, oneri di spesa, l'ausilio di un tecnico, o anche solo l'impiego di unità di tempo lavorativo.

Altruità del dato: presupposto della fattispecie

A compendio di tale excursus sul perimetro della fattispecie e sulla sua integrazione, deve rilevarsi che, come per tutti i reati di danneggiamento, presupposto essenziale per la configurazione del reato è l'altruità della res danneggiata.

Tale concetto, per quanto possa sembrare scontato, può essere particolarmente insidioso con riferimento alla fattispecie informatica, soprattutto in determinati contesti.

È questo il caso affrontato dalla Suprema Corte (Cass. II, n. 38331/2016), relativo ad un dipendente di una società imputato per i delitti di cui agli artt. 635-bis e 615-ter c.p., il quale, in seguito alla parziale riforma da parte della Corte di Appello che lo ha assolto per l'accesso abusivo ad un sistema informatico, è stato condannato per la fattispecie di danneggiamento per aver soppresso delle email di carattere professionale destinate alla società e al dipendente e da quest'ultimo ricevuta nell'ambito delle sue mansioni.

In particolare, proprio in occasione del giorno del licenziamento, il dipendente era entrato con la propria password sul pc aziendale per lo svolgimento degli ultimi lavori che erano stati affidati e ha proceduto ad accedere alla casella di posta elettronica e a cancellare delle mail.

Indipendentemente dalla problematica della reversibilità o meno di tale cancellazione – ormai risolta grazie all'interpretazione della giurisprudenza di legittimità – nel caso di specie la Corte ha annullato senza rinvio la sentenza della Corte di Appello, ritenendo inconfigurabile il reato in parola, per insussistenza del presupposto dell'”altruità” del documento informatico.

Secondo la Corte, infatti, i dati soppressi dal dipendente non possono considerarsi “altrui” perché non rispondono al concetto “penalistico” di altruità. E ciò in quanto, pur avendo l'imputato ricevuto le predette mail sulla posta elettronica aziendale, tale casella deve essere ritenuta di appartenenza esclusiva del dipendente, nello svolgimento della sua attività lavorativa.

Secondo la Suprema Corte, milita a favore della condivisione coni il dipendente dei dati informatici di posta elettronica, il particolare regime giuridico riconosciuto dalla giurisprudenza al particolare ambito del sistema informatico, riservato al dipendente come propria casella di posta elettronica, protetta da password individuale.

Con riferimento a quest'ultimo aspetto, rifacendosi alla giurisprudenza di legittimità (Cass. V, n. 13057/2015) in tema di accesso abusivo ad un sistema informatico di cui all'art. 615-ter c.p. – escluso nel caso di specie anche dai giudici di merito – la Corte si è infatti espressa sostenendo che anche nell'ambito del sistema informatico pubblico, la casella di posta elettronica del dipendente, purché protetta da una password personalizzata, rappresenta il suo domicilio informatico ed è pertanto illecito l'accesso alla stessa da parte di chiunque, ivi compreso il superiore gerarchico.

Analogamente, proprio in forza di tale potere di “esclusiva” ed “escludente” riservato al titolare della casella di posta elettronica, non può ritenersi sussistente il delitto di cui all'art. 635-bis c.p. in quanto il dipendente, pur avendo soppresso delle mail ricevute sull'account aziendale e pur avendo arrecato un danno alla società per la quale lavorava, tali res rientravano nella sua casella di posta elettronica protetta da password e, come tale, non possono ritenersi “dati altrui”.

3. Azioni processuali

Ulteriori attività difensivePer la fattispecie in esame si possono esperire le seguenti ulteriori attività difensive: Istanza di sequestro conservativo della parte civile (art. 316); Memoria difensiva al pubblico ministero (art. 367); Richiesta di presentazione spontanea per rilasciare dichiarazioni (art. 374); Richiesta di giudizio abbreviato (art. 438, comma 1); Opposizione a decreto penale di condanna (art. 461); Istanza di sospensione del procedimento con messa alla prova (art. 464-bis, comma 1).

Procedibilità

Il reato di cui all'art. 635-bis c.p. è perseguibile a querela di parte.

Improcedibilità delle impugnazioni (e prescrizione del reato)

Per le condotte punite dall'art. 635-bis c.p., sia nel caso del comma 1, sia nel caso in cui ricorra la circostanza aggravante prevista dal comma 2, il termine-base di prescrizione è pari ad anni sei, trattandosi di delitti (cfr. art. 157 c.p.).

Tale termine, in presenza di eventuali atti interruttivi, può essere aumentato fino ad un massimo di sette anni e sei mesi (cfr. artt. 160 e 161 c.p.), al netto dei periodi di sospensione (cfr. artt. 159 e 161 c.p.).

A partire dal 1° gennaio 2020 (cfr. art. 2, comma 3, l. n. 134/2021), per tutte le ipotesi previste dalla norma in parola, costituiscono causa di improcedibilità dell'azione penale ex art. 344-bis c.p.p., la mancata definizione:

– del giudizio di appello entro il termine di due anni;

– del giudizio di cassazione entro il termine di un anno.

Tali termini possono essere ulteriormente estesi quando il giudizio d'impugnazione risulta particolarmente complesso in ragione del numero delle parti o del numero o della complessità delle questioni di fatto o di diritto da trattare.

In ogni caso, la proroga potrà essere disposta per un periodo non superiore ad un anno nel giudizio di appello ed a sei mesi nel giudizio di cassazione, salva la sospensione prevista dall'art. 344-bis, comma 6, c.p.p. e quanto previsto dalla normativa transitoria (cfr. art. 2, commi 4 e 5, l. n. 134/2021).

Misure precautelari e cautelari

Arresto e fermo

Con riguardo al delitto di cui all'art. 635-bis c.p.:

– è consentito esclusivamente l'arresto facoltativo in flagranza di reato nell'ipotesi aggravata di cui al comma 2 (art. 381, comma 2, c.p.p.);

– non è consentito in ogni caso il fermo di indiziato di delitto (art. 384 c.p.p.).

Con riferimento al delitto di cui all'art. 639 comma 2 c.p. non è consentito né l'arresto, né il fermo.

Misure cautelari personali

Mentre per l'ipotesi di cui al comma 1 dell'art. 635-bis c.p. non è mai consentita l'applicazione di misure cautelari, per l'ipotesi aggravata prevista dal secondo comma (condotte commesse con violenza o minaccia sulle persone e abuso della qualità di operatore di sistema), in considerazione del limite edittale pari a quattro anni di reclusione, sono applicabili misure cautelari coercitive (artt. 281-286-bis c.p.p.), consentendo l'art. 280, comma 1, c.p.p. di applicare dette misure ai soli delitti per i quali la legge stabilisce la pena della reclusione superiore nel massimo a tre anni.

Al contrario, non sarà possibile applicare anche la custodia cautelare in carcere essendo previsto dall'art. 280, co. 2, c.p.p., l'applicazione di detta misura in caso di delitti per i quali la legge stabilisce la pena della reclusione non inferiore nel massimo a cinque anni.

Competenza, forme di citazione a giudizio e composizione del tribunale 

Competenza

Sia nell'ipotesi punita dal comma 1, che in quella aggravata di cui al comma 2, è competente il Tribunale in composizione monocratica.

Udienza preliminare

Essendo la pena massima prevista non superiore ai quattro anni di reclusione, si procederà con citazione diretta a giudizio (cfr. art. 550 c.p.p.) sia nell'ipotesi base, che in quella aggravata.

Composizione del tribunale

Il processo si svolgerà sempre dinanzi al tribunale in composizione monocratica.

4. Conclusioni

L'analisi del caso appena esaminato è estremamente sintomatica delle peculiarità che riguardano i reati informatici e, nel caso di specie, quelli di “danneggiamento informatico”.

È di tutta evidenza, infatti, che pur essendo la fattispecie in parola fondata su quella dell'art. 635 c.p., determinati concetti non possono essere mutuati dalla giurisprudenza di quella fattispecie.

In particolare, la condotta della cancellazione, che quando ha a che fare con beni materiali comporta, senza mezzi termini, la sua obliterazione, quando riguarda dati informatici, assume altro significato, dovendosi riprendere l'accezione tecnica recepita dal dettato normativo, notoriamente introdotto in sede di ratifica di convenzione europea in tema di criminalità informatica (con legge 23 dicembre 1993, n. 547).

Pertanto, come ha chiarito la giurisprudenza di legittimità, la “definitività” dell'operazione, non può essere intesa in senso letterale, essendo oggi possibili diverse modalità di recupero dei file cancellati dal sistema.

Secondo la giurisprudenza di legittimità, in ogni caso, anche quando è possibile il recupero dei dati utilizzando procedure non dispendiose per effettuarlo, il reato potrà essere integrato in quanto anche solo l'impiego di unità di tempo lavorativo potrà costituire un danno per la parte.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario